电脑总是受到ARP攻击怎么办（电脑遭受ARP攻击该怎么办）

1.电脑总是受到ARP攻击怎么办

ARP欺骗木马程序（病毒）的攻击（ARP是“Address Resolution Protocol”“地址解析协议”的缩写），病毒发作时其症状表现为计算机网络连接正常，却打开网页时断时通；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致用户上网不稳定，极大地影响了用户的正常使用，给网络的安全带来严重的隐患。

病毒原理

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和交换机，让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网，切换的时候用户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从交换机上网（此时交换机MAC地址表正常），切换过程中用户会再断一次线。该病毒发作时，仅影响同网段内机器的正常上网。

采取的措施

一、用户要增强网络安全意识，不要轻易下载、使用盗版和存在安全隐患的软件；或浏览一些缺乏可信度的网站（网页）；不要随便打开不明来历的电子邮件，尤其是邮件附件；不要随便共享文件和文件夹，即使要共享，也得设置好权限，一般指定特定帐号或特定机器才能访问，另外不建议设置可写或可控制，以免个人计算机受到木马病毒的侵入给网络的安全带来隐患。

二、计算机用户要及时下载和更新操作系统的补丁程序，安装正版的杀毒软件，增强个人计算机防御计算机病毒的能力。

三、用户检查和处理“ ARP 欺骗”木马的方法。

1、检查本机是否中的“ ARP 欺骗”木马染毒

同时按住键盘上的“ CTRL + ALT +DEL ”键，选择“任务管理器”，点选“进程”标签。查看其中是否有一个名为“ MIR0.dat ”之类的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。

2、在受到ARP欺骗木马程序（病毒）攻击时，用户可选择下列方法的一种处理。

方法一：

下载Anti ARP Sniffer软件保护本地计算机正常运行。同时把此软件设为自动启动，步骤：先把Antiarp.exe生成桌面快捷方式->；选"开始"->；"程序"->；双击"启动"->；再把桌面上Antiarp.exe快捷键拷到"启动"中，以保证下次开机自动运行，起到保护的作用。

方法二：

在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：ipconfig

记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 10.1.4.1 ”。再输入并执行以下命令：

arp ?Ca

在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-e0-fc-0f-8f-4d”。在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令：

arp ?Cs 网关 IP 网关物理地址。

方法三：（只适用时出现故障时的临时解决办法）

在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：

arp -d

方法四：

局域网ARP攻击免疫器，网上有得下。（1）将这里面3个dll文件复制到windows/system32 里面，将npf 这个文件复制到 windows/system32/drivers 里面。（2）将这4个文件在安全属性里改成只读。也就是不允许任何人修改。

四、以下程序带有此类ARP病毒（传奇杀手等），请不要使用：

传奇2冰橙子1.44版

传奇2及时雨PK版

"网吧传奇杀手"的木马软件进行传奇帐号和密码的扫描

网络执法官等类似程序

五、趋势科技提供的ARP病毒清除工具

2.电脑遭受ARP攻击该怎么办

进入安全模式杀软全盘查杀，用360清除

最好是关闭系统还原，方法是“右击我的电脑——属性——系统还原——在所有驱动器上关闭系统还原”

拔掉网线

加个360arp防火墙

控制面板”—“管理工具”来打开“本地安全策略”，选择IP安全策略，在这里，我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成：过滤策略和过滤操作。要新建IP安全过滤器，必须新建自己的过滤策略和过滤操作，右击窗口左侧的“IP安全策略，在本地机器”，在弹出的快捷菜单中选择“创建IP安全策略”，单击“下一步”，然后输入策略名称和策略描述。单击“下一步”，选中“激活默认响应规则”复选项，单击“下一步”。开始设置响应规则身份验证方式，选中“此字符串用来保护密钥交换（预共享密钥）”选项，然后随便输入一些字符（后面还会用到这些字符的），单击“下一步”，就会提示已完成IP安全策略，确认选中了“编辑属性”复选框，单击“完成”按钮，会打开其属性对话框。

接下来就要进行此新建安全策略的配置。在“Goodbye Ping 属性”对话窗口的“规则”选项页中单击“添加”按钮，并在打开安全规则向导中单击“下一步”进行隧道终结设置，在这里选择“此规则不指定隧道”。单击“下一步”，并选择“所有网络连接”以保证所有的计算机都Ping不通。单击“下一步”，设置身份验证方式，与上面一样选择第三个选项“此字符串用来保护密钥交换（预共享密钥）”并填入与刚才上面相同的内容。单击“下一步”即打开“IP筛选器列表”窗口，在“IP筛选器列表”中选择“新IP筛选器列表”，单击右侧的“编辑”，在出现的窗口中点击“添加”，单击“下一步”，设置“源地址”为“我的IP地址”，单击“下一步”，设置“目标地址”为“任何IP地址”，单击“下一步”，选择协议类型为ICMP，单击“完成”后再点“确定”返回如图9的窗口，单击“下一步”，选择筛选器操作为“要求安全”选项，然后依次点击“下一步”、“完成”、“确定”、“关闭”按钮保存相关的设置返回管理控制台。

最后在“本地安全设置”中右击配置好的“Goodbye Ping”策略，在弹出的快捷菜单中选择“指派”命令使配置生效。

3.电脑受到ARP攻击怎么办

趋势科技ARP病毒专杀工具：

防护arp攻击软件最终版-Antiarp安全软件

使用方法：

1、填入网关IP地址，点击〔获取网关地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现这种欺骗提示，这说明攻击者发送了对于此种欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址.

2、IP地址冲突

如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。

3、您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下：

右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中（请注意将：转换为-），输入完成之后点击[防护地址冲突]，为了使M地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。

注意：如果您想恢复默认MAC地址，请点击[恢复默认]，为了使地址生效请禁用本地网卡然后再启用网卡。

4.电脑遭到ARP攻击怎么办

现在局域网中感染ARP病毒的情况比较多，清理和防范都比较困难，给不少的网络管理员造成了很多的困扰。下面就是个人在处理这个问题的一些经验，同时也在网上翻阅了不少的参考资料。

ARP病毒的症状

有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内的ARP包爆增，使用ARP查询的时候会发现不正常的MAC地址，或者是错误的MAC地址对应，还有就是一个MAC地址对应多个IP的情况也会有出现。

ARP攻击的原理

ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警，查这些数据包（以太网数据包）的源地址（也有可能伪造），就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。

处理办法

通用的处理流程

1.先保证网络正常运行

方法一：编辑一个***.bat文件内容如下：

arp.exe s

**.**.**.**（网关ip） ****

**(

网关MAC地址)

end

让网络用户点击就可以了！

办法二：编辑一个注册表问题，键值如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

"MAC"="arp s

网关IP地址网关MAC地址"

然后保存成Reg文件以后在每个客户端上点击导入注册表。

2.找到感染ARP病毒的机器

a、在电脑上ping一下网关的IP地址，然后使用ARP -a的命令看得到的网关对应的MAC地址是否与实际情况相符，如不符，可去查找与该MAC地址对应的电脑。

b、使用抓包工具，分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己，有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。

c、使用MAC地址扫描工具，Nbtscan扫描全网段IP地址和MAC地址对应表，有助于判断感染ARP病毒对应MAC地址和IP地址。

预防措施

1、及时升级客户端的操作系统和应用程式补丁；

2、安装和更新杀毒软件。

3、如果网络规模较少，尽量使用手动指定IP设置，而不是使用DHCP来分配IP地址。

4、如果交换机支持，在交换机上绑定MAC地址与IP地址。

ARP病毒要想完完全全清除还是重做系统，ARP病毒只能是做防

5.电脑遇到了ARP攻击,该怎么办

ARP病毒解决方案： 1、清空ARP缓存：大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。

一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：第一步：通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd（黑色背景）命令行模式；第二步：在命令行模式下输入arp-a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息；第三步：使用arp-d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。

如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。

下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。 2、指定ARP对应关系：其实该方法就是强制指定ARP对应关系。

由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。第一步：我们假设网关地址的MAC信息为00-14-78-a7-77-5c，对应的IP地址为192.168.2.1。

指定ARP对应关系就是指这些地址。在感染了病毒的机器上，点击桌面->任务栏的“开始”->“运行”，输入cmd后回车，进入cmd命令行模式；第二步：使用arp-s命令来添加一条ARP地址对应关系，例如arp-s192.168.2.100-14-78-a7-77-5c命令。

这样就将网关地址的IP与正确的MAC地址绑定好了，本机网络连接将恢复正常了；第三步：因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件（例如：bat）中，然后将这个文件放到系统的启动项中。

当程序随系统的启动而加载的话，就可以免除因为ARP静态映射信息丢失的困扰了。 3、添加路由信息应对ARP欺骗：一般的ARP欺骗都是针对网关的，那么我们是否可以通过给本机添加路由来解决此问题呢。

只要添加了路由，那么上网时都通过此路由出去即可，自然也不会被ARP欺骗数据包干扰了。第一步：先通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd（黑色背景）命令行模式；第二步：手动添加路由，详细的命令如下：删除默认的路由：routedelete0.0.0.0；添加路由： routeadd-p0.0.0.0mask0.0.0.0192.168.1.254metric1；确认修改： routechange此方法对网关固定的情况比较适合，如果将来更改了网关，那么就需要更改所有的客户端的路由配置了。

4、安装杀毒软件：安装杀毒软件并及时升级，另外建议有条件的企业可以使用网络版的防病毒软件。一般对于单个的电脑，安装一个“360ARP防火墙”就能检测出所有的ARP攻击，它会提示出受到的攻击。

但是，360防火墙虽说是可以阻拦多次攻击，但是受到ARP攻击后网络还是会非常缓慢，甚至有时候还会掉线。你如果要真正地防止ARP攻击，首先推荐给你“清华大学校园网络安全响应小组”编制的一个小程序，下载地址是： ftp://166.111.8.243/tools/ArpFix.rar 这是“清华大学校园网络安全响应小组”编的一个小程序，它可以保护您的计算机在同一个局域网内部有ARP欺骗木马计算机的攻击时，保持正常的上网。

具体的使用方法： 1、程序运行后请先选择网卡，选定网卡后点击“选定”按钮。 2、选定网卡后程序会自动获取您机器的网关地址。

3、获得网关地址后请点击获取MAC地址按钮获取正确的网关MAC地址。 4、确认网关的MAC地址后请点击连接保护，程序开始保护您的机器。

5、点击程序右上角的叉，程序自动隐藏到系统托盘内。 6、要完全退出程序请在系统托盘中该程序图标上点击右键选择EXIT。

（但是要注意：这个程序只是一个ARP攻击保护程序，即受ARP木马攻击时保持自己计算机的MAC地址不被恶意篡改，从而在遭受攻击时网络不会中断。本程序并不能清除已经感染的ARP木马，要预防感染或杀除木马请您必须要安装正版的杀毒软件！）再告诉你如何检查和处理“ARP欺骗”木马的方法： 1、检查本机的“ARP欺骗”木马染毒进程：同时按住键盘上的CTRL ALT DEL键，打开“任务管理器”，点选“进程”标签。

察看其中是否有一个名为“MIR0.dat”的进程。如果有，则说明你的机器已经中毒。

右键点击此进程后选择“结束进程”。如果检测出你的机器本身存在了ARP木马病毒，那么使用下面的专杀工具或者使用最新版的瑞星江民卡巴进行全盘查杀都可以杀掉ARP木马。

（趋势科技ARP病毒专杀工具： /soft/diannao/fangdushadu/。

6.电脑总是受到ARP攻击怎么办